TR/Click.526 - noch einer

gw55 · 15.09.2005, 20:34

Hallo,
auch ich bin auf die gefälschte Rechnung von Telekom reingefallen und habe mir WAREOUT eingefangen.
Die beschriebenen Aktionen mit WAREOUT_REMOVER habe ich durchgeführt.

Nun, stehe vor ähnlichem Problem wie escudo (siehe "your computer might be at risk" vom 28.08.2005); d.h. Meldung Click.526 beim Aktivieren des IE und die ständige Meldung.

Weitere Symptome sind:
- nach Anmeldung ist ein weiteres Arbeiten nicht möglich, weil keine Reaktion auf einen Mausklick (rechts, links oder doppelt) erfolgt. Zudem wandelt sich der Mauszeiger über der Taskleiste in eine Sanduhr.
- mit Glück (nach mehrfachem Runter- und Hochfahren) ist ein Arbeiten möglich; allerdings ist meistens der Suchdienst im Explorer nicht nutzbar

Da ist nicht sicher bin, ob ich wirklich alle „Suchprogramme“ und die damit verbundenen Aktionen brauche, fang ich lieber von vorne an und übermittle den aktuellen HJT-Logfile.

Wer nimmt sich dem Problem mal an ?
Vorab schon mal vielen Dank.

gw55

Logfile of HijackThis v1.99.1
Scan saved at 21:10:50, on 15.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rvs_cent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinDump\WinDump.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\PC Installation\Hijackthis\hijackthis_199\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ***.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EXE32EXE] clamav.exe
O4 - HKCU\..\Run: [driver32] driver32.exe
O4 - HKCU\..\Run: [vxdman] driver32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinDump.lnk = C:\Programme\WinDump\WinDump.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - ***.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - ***//software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ***//v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RVS CAPI (RVS_CE) - RVS Datentechnik GmbH, Munich - C:\WINDOWS\system32\rvs_cent.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

[edit]
links entfernt
[/edit]

_TB_ · 16.09.2005, 01:00

Hallo !

Bitte die angeführten Dateien bei Jotti überprüfen lassen, das Ergebnis kopieren und hier einfügen.

C:\WINDOWS\system32\driver32.exe
C:\WINDOWS\system32\clamav.exe

gw55 · 17.09.2005, 09:03

Hallo TB,
wie zu erwarten, sind die Dateien nicht auffindbar.
Habe zwischenzeitlich escan installiert und ein Prüflauf durchgeführt.
Anbei - als Anhang - die gesamte mwav.log und gefilterte Einträge, die mir aufgefallen sind.
Die Datei C:\wp200504261851.bmp stammt von einem anderen Trojaner (wp.exe ...) und lautet vorher wp.bmp; habe ich gelöscht.

Bitte mal Log prüfen.
Vielen Dank.
gw55

ps
habe Problem die 5MB grosse Datei hochzuladen. Reichen die o.g. Infos ?

Fri Sep 16 20:33:46 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Fri Sep 16 20:33:46 2005 => Scanning File C:\Programme\Messenger\msmsgs.exe
Fri Sep 16 20:33:46 2005 => ERROR!!! Invalid Entry EXE32EXE = clamav.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
Fri Sep 16 20:33:47 2005 => ERROR!!! Invalid Entry driver32 = driver32.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
Fri Sep 16 20:33:47 2005 => ERROR!!! Invalid Entry vxdman = driver32.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

Fri Sep 16 20:34:01 2005 => ERROR!!! Invalid Entry system32\DRIVERS\wanatw4.sys in SYSTEM\CurrentControlSet\Services\wanatw...

Fri Sep 16 20:34:04 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Sep 16 20:34:04 2005 => Loading Spyware Signatures from new External Database (Size: 143636).

Fri Sep 16 20:41:06 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.

Fri Sep 16 20:41:22 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

Fri Sep 16 20:41:59 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Fri Sep 16 20:42:05 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-dan.nls". Action Taken: No Action Taken.

Fri Sep 16 20:42:05 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-cht.nls". Action Taken: No Action Taken.

Fri Sep 16 20:42:05 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-nld.nls". Action Taken: No Action Taken.
. . . .

Fri Sep 16 21:48:01 2005 => Scanning File C:\wp200504261851.bmp
Fri Sep 16 21:48:01 2005 => File C:\wp200504261851.bmp infected by "not-virus:BadJoke.Win32.Nsag.a" Virus! Action Taken: No Action Taken.

Fri Sep 16 22:01:07 2005 => ***** Scanning complete. *****

Fri Sep 16 22:01:07 2005 => Total Objects Scanned: 69101
Fri Sep 16 22:01:07 2005 => Total Virus(es) Found: 3
Fri Sep 16 22:01:07 2005 => Total Disinfected Files: 0
Fri Sep 16 22:01:07 2005 => Total Files Renamed: 0
Fri Sep 16 22:01:07 2005 => Total Deleted Objects: 0
Fri Sep 16 22:01:07 2005 => Total Errors: 336
Fri Sep 16 22:01:07 2005 => Time Elapsed: 01:27:44

TR/Click.526 - noch einer

Log-Analyse und Auswertung: TR/Click.526 - noch einer